21/01/2013 - ARESU

Avis sécurité du 21/01/2013
L’actualité
CNRS
Microsoft a publié lundi 14 janvier 2013, hors cycle normal, un correctif urgent de sécurité qui
corrige la faille 0-day qui est largement exploitée et qui a fait l’objet d’une alerte du CERTA. Il
convient d’appliquer très rapidement la mise à jour, si ce n’est déjà fait.
Oracle a publié dimanche 13 janvier 2013, hors cycle normal, un correctif urgent de sécurité qui
corrige la faille 0-day qui est largement exploitée et qui a fait l’objet d’une alerte du CERTA. Il
convient d’appliquer très rapidement la mise à jour, si ce n’est déjà fait.
Des gens prétendent avoir un autre 0-day pour la version de Java qui vient d’être corrigée et le
vendent pour $5000. Evidemment si nous ignorons la réalité de cet exploit, il reste que ces derniers
temps plusieurs 0-day Java ont été découverts et intensément exploités. Une mesure de précaution
peut être de, sans désinstaller Java, le désactiver dans le navigateur. L’expérience montre que Java
est rarement nécessaire pour naviguer sur Internet. Lorsque c’est nécessaire et que l’on est sûr du
site qui le demande l’activation de Java est simple. Voici les instructions extraites de l’avis du CERT
US :
Disable Java in web browsers
This and previous Java vulnerabilities have been widely targeted by attackers, and new Java
vulnerabilities are likely to be discovered. To defend against this and future Java vulnerabilities,
disable Java in web browsers.
Starting with Java 7 Update 10, it is possible to disable Java content in web browsers through the
Java control panel applet. From
Setting the Security Level of the Java Client:
For installations where the highest level of security is required, it is possible to entirely prevent any
Java apps (signed or unsigned) from running in a browser by de-selecting Enable Java content in the
browser in the Java Control Panel under the Security tab.
If you are unable to update to Java 7 Update 10 please see the solution section of Vulnerability Note
VU#636312 for instructions on how to disable Java on a per browser basis.
References
 Vulnerability Note VU#625617 <http://www.kb.cert.org/vuls/id/625617>
 Setting the Security Level of the Java Client
<http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/client-security.html>
 The Security Manager
<http://docs.oracle.com/javase/tutorial/essential/environment/security.html>
 How to disable the Java web plug-in in Safari <https://support.apple.com/kb/HT5241>
 How to turn off Java applets <https://support.mozilla.org/enUS/kb/How%20to%20turn%20off%20Java%20applets>
 NoScript <http://noscript.net/>


Securing Your Web Browser <https://www.uscert.gov/reading_room/securing_browser/#Safari>
Vulnerability Note VU#636312 <http://www.kb.cert.org/vuls/id/636312#solution>
Indépendamment de la correction hors cycle de la faille Java, Oracle a publié son lot trimestriel de
correctifs critiques concernant l’ensemble de ses produits. On ne peut que recommander d’appliquer
les consignes d’Oracle : « Oracle continues to recommend that, even though other mitigation
measures may be available, Critical Patch Updates be applied as soon as possible in order for
organizations to retain their security in depth posture. »
En ce qui concerne le lancement très médiatique du site Mega, de nombreuses vulnérabilités ont
déjà été découvertes. L’insécurité du site est à la hauteur de la mégalomanie de Kim Dotcom.
Nous mis à jour des documents et en ajouté d’autres concernant le chiffrement. Ils sont disponibles
sur la page recommandations du site web SSI.



VADE-MECUM Protection contre le vol de matériel informatique (mise à jour du 17
janvier 2013)
FAQ organisation déploiement (mise à jour du 16 janvier 2012)
Gestion du chiffrement sur un parc OSX ≥ 10.7 avec FileVault 2 (mise à jour du 18
janvier 2012)
La revue hebdomadaire de l’actualité est aussi disponible en ligne.
CERTA

CERTA-2013-ACT-003
Bulletin d'actualité numéro 08 de l'année 2013 (18 janvier 2013)
CERT Renater

STAT03 Bulletin d’actualité n° 03 de l’année 2013 (18 janvier 2013)
Les derniers avis
CERTA

CERTA-2013-AVI-048
janvier 2013)

CERTA-2013-AVI-047
Multiples vulnérabilités dans le système SCADA Rockwell
Automation Controllogix (17 janvier 2013)

CERTA-2013-AVI-046
Multiples vulnérabilités dans Drupal (17 janvier 2013)

CERTA-2013-AVI-045
Multiples vulnérabilités dans Xen (17 janvier 2013)

CERTA-2013-AVI-044
2013)
Vulnérabilité dans Cisco ASA 1000V Cloud Firewall H.323 (17 janvier

CERTA-2013-AVI-043
Vulnérabilité dans IBM Cognos TM1 (16 janvier 2013)

CERTA-2013-AVI-042
2013)
Vulnérabilité dans Oracle Supply Chain Products Suite (16 janvier

CERTA-2013-AVI-041
2013)
Multiples vulnérabilités dans Oracle Fusion Middleware (16 janvier
Vulnérabilité dans le système SCADA Schneider Electric SESU (18

CERTA-2013-AVI-040
Multiples vulnérabilités dans Oracle Enterprise Manager Grid
Control (16 janvier 2013)

CERTA-2013-AVI-039
janvier 2013)
Multiples vulnérabilités dans Oracle Database Mobile/Lite Server (16

CERTA-2013-AVI-038
2013)
Multiples vulnérabilités dans Oracle PeopleSoft Products (16 janvier

CERTA-2013-AVI-037
2013)
Multiples vulnérabilités dans Oracle E-Business Suite (16 janvier

CERTA-2013-AVI-036
Vulnérabilité dans Oracle Database Server (16 janvier 2013)

CERTA-2013-AVI-035
Multiples vulnérabilités dans Oracle Siebel CRM (16 janvier 2013)

CERTA-2013-AVI-034
Multiples vulnérabilités dans Oracle MySQL (16 janvier 2013)

CERTA-2013-AVI-033
Vulnérabilité dans Oracle Virtualization (16 janvier 2013)

CERTA-2013-AVI-032
Vulnérabilité dans Oracle JD Edwards (16 janvier 2013)

CERTA-2013-AVI-031
2013)
Multiples vulnérabilités dans Oracle Sun Products Suite (16 janvier

CERTA-2013-AVI-030
Vulnérabilité dans Samba (16 janvier 2013)

CERTA-2013-AVI-029
Multiples vulnérabilités dans Adobe ColdFusion (16 janvier 2013)

CERTA-2013-AVI-028
janvier 2013)
Multiples vulnérabilités dans Avaya Call Management System (15

CERTA-2013-AVI-027
Vulnérabilité dans IBM TS3310 Tape Library (15 janvier 2013)

CERTA-2013-AVI-026
(15 janvier 2013)
Vulnérabilité dans le système SCADA Siemens Simatic RF Manager

CERTA-2013-AVI-025
Vulnérabilité dans Citrix CloudPlatform (14 janvier 2013)
CERT Renater



16 Jan 2013 VULN030 Samba : A Samba AD DC may provide authenticated users with write
access to LDAP directory objectsSystems running Samba version 4.0.0.
16 Jan 2013 VULN029 Oracle : January 2013 Critical Patch Update ReleasedSystems running
Oracle Database, Oracle Database Mobile Server,Oracle Enterprise Manager Grid Control,
Oracle Fusion Middleware, Oracle E-Business Suite, Oracle Supply Chain Products Suite,
Oracle PeopleSoft Enterprise, Oracle JDEdwards Enterprise One, Oracle Siebel CRM, Oracle
Sun Products Suite, Oracle Virtualization, Oracle MySQL.
16 Jan 2013 VULN028 Microsoft : Critical Security Update for Internet ExplorerSystems
running Microsoft Internet Explorer versions 6, 7, 8.